@viragomann said in Frage zu High Avail Sync: Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest. Ich muss da was ergänzen / korrigieren: Voraussetzung ist, dass am Secundary nicht auch "Enter Persistent CARP Maintenance Mode" aktiviert ist. Falls doch, bleibt der Primary Master, ausgenommen er geht tatsächlich down, dann erst wird der Secundary Master. Habe peinlicherweise eben diese Erfahrung machen müssen, weil ich das am Secundary irrtümlich mal gesetzt hatte oder irgendwann vergessen hatte, es wieder zu deaktivieren.

Ja da bin ich ganz deiner Meinung @Exordium , Eine Übersicht würde viel mehr Komfort für nicht so versierte Anwender von PFsense bringen und die Lernkurve deutlich erhöhen.

@jegr said in Routing? Oder was anderes?: Berufsschulen und deren Lehrer sind da auch noch im Zeitalter Pre-1993 - und schreiben darüber dann sogar Prüfungen wo der komische Murks abgefragt wird in komplett weirden Szenarien die komplett Praxisfern sind :) Was meinst du was in DE passieren würde, wenn das auf einmal anders wäre. Da würden wir alle die Welt nicht mehr verstehen! OMG praxis bezogene Ausbildung, wo kommen wir denn da hin!?! @sascha.salentin Bist noch mit dem Netzkonzept beschäftigt oder haben wir dich so verschreckt das du jetzt verschwunden bis?

@bonedaddy höchstens nachschauen ob beim 2. WAN da auch Prefix Schnittstelle WAN2 drinsteht. Mehr wüsste ich jetzt nicht.

@jegr Gute Idee, probier ich mal. Danke!

@viragomann Danke, werde ich mir Montag einmal anschauen. Das ist das lokale Netzt hinter der pfSense im RZ.

@bon-go said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?: Genau das schreibe ich doch die ganze Zeit, s.o.. Damit wäre bei seinem /30er Netz nur eine IP nutzbar. Wenn nun sein ISP direkt nur die IP des /30 Netzes vergibt ohne Standardgateway für dieses Netz (so wie er es grad eben noch geschrieben hat) dann geht halt darüber nie etwas raus ausser Antworten auf eingehende Pakete von irgendwoher. Ja, auch das ist möglich. Wenn der ISP aber wie schon mehrfach von ihm geschrieben ein /30 delegiert hat - also routet - dann ist da nix Gateway drin, sondern das komplette /30 mit zwei Adressen weitergeroutet auf die Adresse, die die Sende bei PPPoE Einwahl eh bekommt. Standard Routing und gut. @filontheroad said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?: Meine anderen Vlan Clients kriegen aus allen anderen VLAN Netzten auch eine IP durch ihren DHCP Server ;-) nur bei diesem war es nicht der Fall und da bin ich noch am recherchieren wieso. Kannst du dazu bitte nochmal aufdröseln, ggf. mit Screenshots, was du wo wie warum konfiguriert hattest und was dann ging und was nicht? Ansonsten verstehe ich beim Drüberlesen gerade nicht , wo du da wie ein VLAN im Spiel hast und welche Adressen da vergeben oder nicht vergeben werden :)

Ohne Überwachungsaktion wird ein Gateway auch nicht rausgenommen oder abgeschaltet. Dann kann im Normalfall die GW Gruppe nicht wirklich greifen. Wo sind die GWs denn überhaupt eingestellt und verbaut? Wie sehen die NAT Regeln und Firewall Rules aus? Werden die Anschlüsse jetzt immer noch "vertauscht" (was technisch eig. gar nicht geht)? Etc etc.

@viragomann said in Komisches verhalten bei Zugriff: intra-BSS kaum machts man richtig gehts auch, vielen Dank ! Ich ging davon aus das das Standard ist und kam nicht auf die Idee danach zu suchen .. super, dann bin ich schon mal ein Schritt weiter

@sohei said in Internet Zugang für Amazon Kindle blockieren: Alternativ statt nur DNS erlauben zu "LAN Address" eben alle Ports erlauben, dann kannst du vom Kindle Tablet auch noch die Sense UI aufrufen oder auch NTP machen statt nur DNS. Und wenn man mal ggf. mit HAproxy spielt, klappt auch das. :) Das problem daran ist, dass der Kindle nicht nur auf den NextCloud Server zugreifen muss, sondern auch auf andere "Server" und "Dienste" welche (derzeit) alle im LAN Segment stehen. Das würde bedeuten, dass ich für jeden Dienst eine Regel erstellen müsste. Da diese ganze Konfiguration noch maximal dieses Jahr halten muss, ist mir diese Quick-and-Dirty Lösung ganz recht. Wenn wir dann im neuen Haus sind, wird sowieso richtig umgebaut und alle Server in eine DMZ verschoben. Wie weiter oben schon mehrfach erwähnt: wenn der Kindle und 'die ganzen anderen Geräte im gleichen LAN' letzten Endes an einem Switch vor bzw. hinter der pfSense hängen dann sieht die pfSense das (an ihrem LAN) nicht und man braucht auch keine separaten Firewallregeln dafür. Das ist unnütz. Die Geräte reden über den Switch direkt miteinander. Die Firewallregeln für den Kindle sind nur dazu da: um DNS, DHCP und NTP der pfSense zu nutzen den gesamten restlichen Traffic zur pfSense und ausserhalb des LAN (eben auch den kompletten Internetverkehr) zu blockieren

@bob-dig Wenn ihr Lust auf Experimente habt: Habe aktuell den 2.5er snapshot am Laufen. Der hatte auf einem DHCP konfigurieren Interface mit nackter Konfig (also OOTB) sofort IPv4 UND IPv6 am WAN ... UND sofort auch tracking auf dem default LAN aktiv. Einfach mal hinter ne FB 3490 gehängt und instant alles korrekt drin. Sieht sehr gut aus :)

@thepocky said in pfSense hinter FritzBox 6591 mit mehreren Public-IPs und 1:1 NAT: Aber ist das eine finale Lösung? Ich bin da skeptisch. Bin froh dass es wieder funktioniert, aber noch nicht ganz zu Frieden. Kann ich verstehen. Hört sich eher nach verdammt krudem Hack seitens Kabelbetreiber und AVM an, damit sie ums Verrecken den Bridge Modus nicht wieder enablen müssen, den sie bereits mit der alten Box schon aktiv hatten und jetzt absichtlich wieder gesperrt haben, obwohl er problemlos funktioniert hatte. Der Grund wird der sein, dass die Leute das ausnutzen konnten um mehrere IPs zu bekommen und wenn man plötzlich 3 IPs pro Anschluß zusätzlich aktiv hatte, fällt einem die IP Knappheit nur umso mehr auf. Wie "unangenehm"... Ich habe selbst eine 6591 aber noch bevor Vodafone das Szepter übernommen hat von Unitymedia. Dort wurde plötzlich mit dem v6.xx OS der Bridge Modus aktiv und seither (7.13) ist er an geblieben. Toi toi toi. Würde mich jetzt nicht sonderlich treffen, da kein Business Anschluß und nur eine IP, aber wäre trotzdem ärgerlich. [image: 1609267926816-a143f515-a743-4171-806f-76edd33ed51f-image.png] Dass es also das Feature nicht mehr gibt, ist schlicht gelogen, sie wollen es nur nicht mehr rausrücken, denn wie du schon festgestellt hast, hat die Fritze selbst im Bridge Modus selbst noch eine IP und ein Prefix. Für jedes LAN das ich bridge wählt sich das Gerät dann zusätzlich bei VF ein und holt sich eine IPv4/IPv6 Prefix. Damit kann man sich dann lustig (zwar dynamisch aber trotzdem) 4 verschiedene IPs ziehen. Und das wollen sie natürlich um jeden Preis vermeiden. Grüße

@bosco Nochmal die Frage: Die Screenshots sind aus dem Backend? Vom blog Backend? Dann haben da wie gesagt die anderen ACLs nichts drin zu suchen weil die da durch die Frontend Zuweisung eh nie ankommen würden? Im Frontend wird boscolab.de ohne irgendwas auch auf das Blog Backend geschickt? Oder woanders hin? Nochmal zum Verständnis: dein Frontend(!) weist eine ACL via Host match zu. Diese ACL wird dann in der Aktion (immer noch im Frontend) selektiert und wählt dann nach deiner Angabe ein BACKend aus. In diesem Backend kommen dann auch NUR Zugriffe an, die vorher schon durch die Selektion auch dahin geschickt werden. Darum schreibe ich die ganze Zeit dass deine ACLs und Actions im BACKend für alles was NICHT in dieses Backend gehört sinnfrei sind, weil sie eh nie ausgeführt werden! Also würde ich erstmal die Backends soweit bereinigen, dass da nur drinsteht was da auch sein muss und dann nochmal im Frontend die Zuweisung von boscolab.de checken, ob das auch definitiv auf das blog backend geschickt wird und dort ankommt. Dann sollte der Redirect auch greifen. :)

@christoph-strauch said in IPSec Routing Problem: Weiterhin haben wir eine statische Route angelegt auf den C Router über das LAN interface. Nochmals nachgefragt weil die Frage von @viragomann nicht beantwortet wurde: Falls die Firewall von B nicht das Default Gateway auf dem C-Router ist, braucht es natürlich auch noch eine statische Route für das Netz hinter A, die auch B zeigt. @christoph-strauch du hast nur was geschrieben davon, dass ihr auf der Firewall von B eine Route AUF C erstellt habt. Aber was ist mit dem Router C? Hat DER denn die Firewall von B als Default GW? Das ist ja leicht festzustellen: Wenn wie du schreibst Traffic AN das Netz C auf Firewall B zu sehen ist auf dem ENC0 Interface ANkommend (erster Check) und dann auch auf dem LAN Richtung Router C ABgehend (zweiter Check mit capture) - wenn also der komplette Hinweg bis zum Router C sicher steht und du einen Ping oder bspw. ein HTTP(S) hinschickst und es kommt NICHTS zurück, dann ist das ziemlich sicher der Router C der Murks macht. Entweder: Hat Router C NICHT Firewall B als Default GW und sendet daher nichts für IPs aus Range A zurück an B Oder C hat einen Filter drin, dass nichts, was nicht Netz B ist rein darf (damit blockt er alles aus A) Oder Router C hat ggf. intern noch andere Netze/Routings und der Adressbereich von A wird deshalb von C wo ganz anders hingeroutet Die Möglichkeiten bei sowas sind vielfältig :) Da musst du genau hinsehen. Ansonsten könnte man noch versuchen ein "Outbound NAT" auf Firewall B zu bauen, was Pakete von Netz A (via VPN Tunnel) empfangen ABgehend auf dem LAN zu C dann auf die Interface Adresse von Firewall B umschreibt. Damit wäre eigentlich dann Routing/Firewall mäßig wenig Grund da, warum Router C die Pakete ablehnen sollte, aber schön ists natürlich nicht so ganz, weil die Geräte in C dann nicht mehr sehen wo der Kram herkommt. BTW: bei sowas hier wäre ein ordentlicher Netzplan unglaublich hilfreich ;)

@noplan said in NemsLinux SNMP und pfSense: muss man halt nur wiede rmal eine mysql und eine ubuntu maschine aufstellen Wofür? Wegen Icinga? @noplan said in NemsLinux SNMP und pfSense: erfüllt das ganze ? Joa, also für NRPE oder dein Nagios Core Gedöngels geht das NRPE Plugin. Icinga kann damit auch, läuft aber IMHO besser mit dem eigenen Agent. Den gibts allerdings leider bis dato nicht packetiert für pfSense - müsste man vielleicht mal in Angriff nehmen oder anfragen. Man kann aber entweder den NRPE einfach nehmen oder statt dessen händisch den Icinga Agent via PKG installieren und konfigurieren. Mit Filer & Shellcmd Packages sollte sich das ganz gut verkraften lassen :)

@richie1985 Nö das sieht OK aus. Das igb0/Sync wird wohl direkt verkabelt sein, daher der Hotplug Event mit dem UpDown-Girl ;) Ansonsten sieht man da leider bezogen auf CARP nicht viel.

@mickman99 Sorry mal wieder die späte Rückmeldung. Habe jetzt Urlaub und kann mich dem Thema wieder expliziter widmen. Tatsächlich wird der Präfix einwandfrei auf die Interfaces verteilt und stimmen auch mit dem Präfix mit dem der FRITZ!Box überein. Laut Log der FRITZ!Box wird das verteilte Netz an das LAN Interface auch erkannt und als Exposed Host freigegeben. Ich vertraue allerdings der Firewall der FRITZ!Box nicht so ganz. Ich richte parallel bei einem Nachbar einen OpenVPN Server über IPv6 ein. Auch dort wird der eingehender Verkehr trotz Exposed Host (natürlich nur zum Test so freigegeben) rejected. Sinn macht das nicht. Zusätzlich ist bei meiner pfsense das Problem aufgetreten, wenn viele Daten auf einmal verarbeitet werden müssen, dass der interne DNS Server abschmiert. Da habe ich auch die Vermutung, dass es an der FRITZ!Box liegt. Der Log der Fritte verrät da allerdings nicht so viel...

@viragomann Vielen Dank! Das war natürlich der korrekte Tipp :-) Habe mir ein Alias gebaut der die IPs beinhaltet die auf den VPN zugreifen sollen. Sieht jetzt so aus und funktioniert: [image: 1608469506376-fc1174e2-453a-4e5b-bb9e-3af38a577d33-image.png]